序
自工业化时代以来,标准就是促进技术进步、贸易全球化和人类社会可持续发展的重要基础。进入信息社会,信息技术(IT)标准更是确保网络互联互通、信息交换共享、应用广泛普及的根本保障。作为国家网络安全保障体系建设的重要组成部分,网络安全标准在保障国家网络空间安全、推动社会治理体系变革方面发挥着基础性、规范性和引领性作用。其中,信息技术安全评估标准不仅是统一信息技术开发者、用户方、监管部门和测评机构多方之间认知与理解的共同语言,更是确保信息技术产品(IT产品)安全性与功效的统一尺衡。
对IT产品的安全评估是信息化时代确保供应链安全,进而维护网络空间安全问题的关键环节。发达国家均将信息安全测评认证体系建设作为维护国家安全和发展利益的重要基础设施,其中对网络安全标准的研判和应用是重中之重。国内外在这方面都做了大量工作,积累了许多宝贵的经验。“安全”利益是一个国家的根本利益和核心诉求,对安全这一概念内涵和外延的理解,因国、因时、因事而异,体现在安全战略、安全政策和安全管理等方面时,均因国别不同而有明显差异。但是,在技术层面,几十年的发展轨迹却是在相向而行。信息社会的发展进程预示着世界各国唯有相互交流、互融共通、共享共治才能增加战略互信,推动全球价值链、供应链健康完善发展,让互联网这一无形的人类共同家园变得更美丽、更干净、更安全。“凡益之道,与时偕行”,就我国而言,信息技术的发展成就举世瞩目,全球化影响与日俱增。为适应未来国家对外开放形势、保证网络空间安全制度差异性的前提下寻找IT产品互联互通、相互促进和相互发展的安全保障体系,共同应对信息技术带来的网络空间安全挑战,信息技术安全评估工作需要注重与国际成熟做法衔接,并积极为统一的标准体系贡献更多中国经验与智慧。作为本书将要讨论的主要对象,信息技术安全评估准则国际标准(简称通用评估准则或CC标准)恰好体现了这一基本价值观念。
CC标准是由国际标准化组织(ISO)和国际电工委员会(IEC)共同制定的,专用于IT产品安全测评的基础性标准,在信息技术安全测评领域的国际接受度最高,在我国也已形成较大影响力。从发展过程看,CC标准源于美、欧各国从各自网络安全治理角度建立的区域性信息技术安全评估规范和标准。通过三十多年不断融合、改进和完善,汇入众多先驱标准之精华,CC标准最终得以完善成形,并得到了美、英、法、德等全球三十多个国家的接受和应用。国际标准的价值源于其严格的编制过程所蕴含的高质量保证。自CC标准的国际化版本ISO/IEC 15408于1999年由国际标准化组织正式发布以来,至今已更新数版,普适性和严谨性逐渐增强,国际影响力和接受度不断提升,为众多IT产品的安全要求和测评标准提供了框架依据,支撑着数千款IT产品的安全测评实践,在世界范围内发挥着越来越重要的作用。
我国高度重视信息安全标准化工作,持续跟踪并主动参与了CC标准的发展完善过程。在CC标准的初始建立阶段,我国就关注美、英、德、法、荷、加等西方国家的标准研究及其技术动向,并在该标准(ISO/IEC 15408:1999)甫一发布即着手编译,于2001年将其采用并转化为中国的国家标准GB/T 18336—2001正式发布。此后,我国逐步开发了许多配套性的国家标准和行业标准,并在2000余款国内外IT产品的分级安全测评活动中进行了应用。为了与CC标准的变化过程紧密同步,2015年我国又等同采用并发布了对标现用ISO/IEC 15408:2009标准的GB/T 18336—2015。随着IT产品安全测评方法和技术手段逐步趋于成熟,我国测评机构已在智能卡等领域依据GB/T 18336标准开展高保障级别的测评业务,对保障我国网络空间安全发挥着积极重要的作用。GB/T 18336标准已成为我国保持与国际同步的网络空间治理技术的基础性标准规范。可以说,近二十年来通过创新运用CC标准的评估模型和方法,中国已成为CC标准的重要实践者和开拓者。
CC标准之所以称为通用评估准则,是因为它第一次从人类对信息技术安全的多维、异构和复杂的认知中抽象出一个各方公认的安全评估和保障的基础框架,为IT产品的消费者、开发者、评估者、认证监管者等目标用户理解和使用安全测评技术术语和方法提供了统一规范。CC标准的普适性源于其高度抽象性,虽然可因之扩大该标准的适用面,但其晦涩艰深的表达方法也给初学者带来了不少困惑。我们了解到这是国内外读者对该标准的共同感受。CC标准的测评模型和概念逻辑隐藏在该标准文本浩繁的规范条文中,加之语言晦涩抽象,如果没有先行者引路,一般读者较难理解。从经验上说,掌握测评模型和概念之间的关系是理解CC标准的必由之路。但是,由于没有专门的中文教科书来辅导读者理解,国内读者通过阅读标准来提炼对标准应用的理解的确困难重重,所以为国内用户提供一本针对CC标准的普及读本就尤为必要和迫切。
在此方面,国际上曾先后出版了几本介绍CC标准不同版本的著作,侧重点各有不同,对理解CC标准的确有所裨益,但对于中文读者而言,由于国内还没有全面介绍GB/T 18336及其应用技术的教材,加之GB/T 18336的使用者对评估对象(TOE)的安全问题、安全目标和安全要求在认识和理解上存在差异,导致不同用户在描述IT产品安全要求、设计安全方案、开展安全测试和认证测试结果时面临诸多挑战,对我国实施GB/T 18336标准的规范性和效率必然会产生不利影响。理想情况下,只有当测评机构、认证机构及IT产品厂商对CC标准有同等的理解时,方能发挥该标准应有的应用价值。
本书作者常年从事依据GB/T 18336标准的IT产品安全评估工作,从编制第一版GB/T 18336标准开始,一直工作在CC标准及测评技术发展变化前沿,维护着我国IT产品安全评估相关标准和规范的制定工作。2017年以来,本书作者之一代表中国专家担任CC标准联合编辑,在ISO层面开启了我国与国际社会正式合作开发CC标准的进程。在实践中,作者对CC标准用户面临的困难体会颇深,这正是我们决定编写此书的初衷。我们深知本书可能难以消除读者的所有困惑,但仍希望读者可以通过阅读本书厘清CC标准中各种概念之间的关系,掌握该标准的基本原则、核心概念、测评模型、方法和技术,并解决部分实际应用困难。故在内容安排上,本书(第1章)首先围绕信息技术安全评估的基本概念,简要回顾了信息技术安全评估标准的发展源头和历程,并论述了通用评估准则应用框架的重要组成部分,内容涉及广泛,有利于读者系统把握国内外在信息安全评估方面的政策规则和技术框架。以此为基础,本书(第2~5章)采用由浅入深的叙述方式带读者进入CC标准的核心技术部分,帮助读者逐步理解CC标准的基本模型和方法,掌握标准中预定义的安全功能组件和安全保障组件,进而用大量实例帮助读者体会IT产品的保护轮廓和安全目标(PP/ST)的编制方法和过程。进一步,为帮助读者实际把握CC标准的具体评估技术和方法,本书(第6~8章)针对IT产品开发者和评估者在评估证据准备、评估流程实施和技术应用等方面的困难问题,用较详尽的篇幅进行了梳理和讨论,提出的解决办法有利于推进CC标准的应用实践和发展完善。
值得指出的是,CC标准的发展完善之路仍在不断的技术变革中稳步向前。在本书编写过程中,ISO/IEC组织已在开发新版的ISO/IEC 15408及其配套标准ISO/IEC 18405。标准翻新的动机源于近10年以来信息技术取得的显著发展,移动计算、物联网、大数据和人工智能等类型的IT产品已从襁褓中发育成长,构成了当前对世界经济和社会生活影响最大的技术方向。为了适应这些新技术的发展,IT产品的技术架构以及设计和制造IT产品的工艺流程和分工结构都更为复杂,相比之下现用的CC标准版本的适用性困难却日渐增多,只有修订标准方可与时俱进。由于本书作者正在ISO层面参与新版CC标准的编修过程,为飨读者好奇之心,本书已加入一些新版CC标准编修过程中较为稳定的技术内容,如模块化、多保障级测评、合作性保护轮廓(cPP)等,读者可因之窥探下一个版本CC标准的最新动向。
本书依据国标GB/T 18336—2015及其相关评估方法和IT产品安全检测规范进行编写,其基本案例内容源于中国信息安全测评中心和清华大学多年合作的数据库安全测评服务、典型信息安全产品检测技术研究与规范制定等相关项目成果,同时还参考了国际同行的CC标准相关著作。在整理CC安全组件、PP/ST结构、通用准则评估方法(CEM)评估活动,以及评估证据准备和TOE测试方法和技术相关内容的过程中,我们多次邀请中国信息安全测评中心安全检测处的同志对本书进行了讨论和校对,感谢他们的大力支持和帮助。相信本教材对于网络安全法在我国的实施,提升我国关键信息基础设施的安全运营水平,促进国家网络产品安全测评制度建设,实现与国际IT产品安全评估标准的接轨具有一定的推动和指导作用。
编者
2020年4月